В Telegram со стороннего магазина APKPure нашли подозрительный код сбора данных
Читайте в Telegram
|
Исследователь информационной безопасности Эрик Паркер обратил внимание на то, что сторонний Android-магазин приложений APKPure распространяет модифицированную версию Telegram под видом официальной.
Версия мессенджера, доступная в стороннем магазине APKPure, подписана не ключом Telegram и содержит класс, который отправляет на сторонний сервер номер телефона, профиль и файлы с устройства.
При декомпиляции APK-файла в коде обнаруживается класс DataCollector, которого нет в логике обычного мессенджера, а также прописанный прямо в коде адрес сервера, расположенного, по данным проверки IP, в Гонконге.
Что нашли в коде
Класс DataCollector содержит методы отправки на сторонний сервер номера телефона и профиля пользователя, а также сбора изображений и видео из галереи, документов с устройства и данных SIM-карты.
Вызовы этих методов встроены в рабочие участки приложения — в частности, они срабатывают при входе пользователя в аккаунт. В коде прописаны эндпоинты с характерными названиями вроде /api/collect и /api/collect_batch — такая схема типична для приложений, скрытно выгружающих данные.
Редакция «Кода Дурова» также проверила APK с APKPure и обнаружила, что оно использует другую цифровую подпись. Сборка с APKPure (версия 12.6.5) подписана сертификатом с отпечатком, который не совпадает с отпечатком сертификата официального клиента, загруженного с сайта telegram.org. Поскольку пересобрать и переподписать приложение чужим ключом невозможно без вмешательства в исходный APK, расхождение подписи прямо указывает: сборка с APKPure модифицирована и выпущена не Telegram.
При этом на сервисе VirusTotal файл на момент проверки детектировал лишь один антивирус из 56 — массово угрозу защитные системы пока не подтверждают. Это может объясняться тем, что сборка свежая и сигнатуры ещё не обновлены. Сам Паркер отмечает, что в официальном стабильном клиенте Telegram класса DataCollector он не нашёл.
Это не первый случай, когда к APKPure возникают вопросы по части безопасности. В 2021 году исследователи «Лаборатории Касперского» и Dr.Web обнаружили вредоносный код прямо в самом приложении магазина — троян семейства Triada, который мог показывать рекламу и подгружать на устройство сторонние модули; APKPure тогда выпустила исправленную версию. В 2025 году сообщалось, что через APKPure и ряд других сторонних площадок распространялись скомпрометированные сборки Telegram X с бэкдором — их раздавали под именем официального разработчика, хотя цифровая подпись отличалась от настоящей.
